Beiträge

Der EuGH hat (C-300/21) entschieden, dass ein Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstanden ist. Die Höhe des Schadensersatzes richtet sich nach dem nationalen Recht der Mitgliedstaaten.

Nach Auffassung des EuGH ist der Schadensersatzanspruch in der DSGVO an drei Voraussetzungen geknüpft: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden und Kausalität zwischen Verstoß und Schaden (haftungsausfüllende Kausalität). Der EuGH hat zudem klargestellt, dass eine Erheblichkeitsschwelle für immaterielle Schäden nicht erforderlich ist. Es kommt allein auf das Vorliegen der oben genannten Voraussetzungen an.

Der EuGH hat Anfang Mai dem Gespenst der Rechenschaftspflicht ein wenig seinen Schrecken genommen (C‑60/22): Schließt der Verantwortliche trotz Erforderlichkeit keine Vereinbarung über die gemeinsame Verantwortung (Art. 26 DSGVO) ab oder führt er kein Verarbeitungsverzeichnis (Art. 30 DSGVO), führt dies nicht zur Rechtswidrigkeit der Verarbeitung. Die betroffene Person hat daher keinen Anspruch auf Löschung oder Einschränkung der Verarbeitung.

Der EuGH begründet dies u. a. damit, dass sich die Rechtmäßigkeit einer Verarbeitung von Daten mit „normalem“ Schutzbedarf nur an den Anforderungen des Art. 6 DSGVO (Überschrift: „Rechtmäßigkeit der Verarbeitung“) bemisst. Heißt: Die Datenverarbeitung braucht eine Rechtsgrundlage, um rechtmäßig zu sein. Ob für eine Verarbeitung besondere Datenschutzvereinbarungen zwischen den beteiligten Akteuren erforderlich ist oder ein Verarbeitungsverzeichnis vorliegt, ist hierbei unerheblich. Gibt es eine gültige Rechtsgrundlage, dürfen die Daten auch weiterhin verarbeitet werden.

Viele finden die DSGVO unpraktisch, etwa die umfassenden Ansprüche auf Auskunft und Datenkopie, die viel Aufwand auslösen bei häufig zweifelhaften Motiven auf Seiten des Betroffenen. Und dann erst die Sanktionen. So kann etwa jede Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, Schadenersatz verlangen. Das zieht Glücksritter an, und wer mag die schon.

Es mehren sich daher die Gerichtsentscheidungen, zuletzt aus Nürnberg (4 Sa 201/2) und Memmingen (35 O 1036/22), die Schadensersatz nur bei Verursachung durch die Datenverarbeitung zusprechen. Kein Geld soll es dagegen geben, wenn jemand nichts tut, also etwa die geschuldete Datenauskunft nicht erteilt. Juristisch kann man das unter anderem mit einem Erwägungsgrund und der Entstehungsgeschichte nachvollziehbar begründen. Sinn macht das aber natürlich nicht.

Die DSK hat Ende März ihren Beschluss zu Prüfmaßstäben für „Pur-Abo-Modelle“ veröffentlicht. Bei einem „Pur-Abo-Modell“ haben Websitebesucher meist zwei Möglichkeiten, um die Inhalte der Website lesen zu können: Entweder schließen sie ein kostenpflichtiges Abo ohne Werbung und Tracking (sog. Pur-Abo) ab, oder sie willigen – ohne „Pur-Abo“ – ein, dass ihre Daten für profilbasierte und individualisierte Werbung genutzt werden dürfen.

Mit dem Beschluss stellt die DSK fest, dass das Tracking grundsätzlich auf eine Einwilligung gestützt werden kann, wenn alternativ ein trackingfreies – auch kostenpflichtiges – Modell angeboten wird. Bei mehreren Verarbeitungszwecken muss die Einwilligung granular erteilt werden können.

Der Blog netzpolitik.org stellt hier die in der DSGVO geforderte Freiwilligkeit in Frage und kritisiert, dass die vermeintliche trackingfreie Alternative nur für die gilt, die es sich leisten können. Andererseits wird hier der Gestaltungsspielraum für Webseitenbetreiber gestärkt.

Nach Auffassung des BGH (VI ZR 60/21) darf die Online-Plattform Jameda.de allgemein zugängliche Arzt-Daten ohne Zustimmung des betroffenen Arztes speichern. Es liege insoweit ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO vor.

Der Kläger, ein Arzt, hatte der Veröffentlichung seiner beruflichen Daten auf dem Portal nicht zugestimmt und verlangte die Löschung. Der BGH urteilte, dass Jameda berechtigte Interessen verfolge, indem es eine Übersicht über Ärzte und deren Leistungen bietet und Patientenbewertungen abrufbar macht. Die Funktion der Veröffentlichung von Patientenbewertungen auf dem Portal falle unter den Schutzbereich von Art. 11 Abs. 1 der Charta der Grundrechte der Europäischen Union und sei zudem gesellschaftlich erwünscht. Das Interesse des Klägers überwiege die berechtigten Interessen von Jameda nicht, sodass die Verarbeitung personenbezogener Daten des Klägers auf der Plattform zulässig sei.

Das VG Hannover (10 A 6199/20) hat entschieden, dass die ununterbrochene und minutengenaue Erhebung von Leistungsdaten der Beschäftigten bei Amazon mittels Handscannern rechtmäßig sei. Das Gericht bestätigte, dass die Datenverarbeitung für die Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen erforderlich ist.

Wer sich mit Verhaltens- und Leistungskontrolle im Beschäftigungsverhältnis näher beschäftigt hat, käme intuitiv evtl. zu einem anderen Ergebnis. Die beklagte Landesbeauftragte für den Datenschutz Niedersachsen ist weiterhin der Auffassung, dass der durch die minutengenaue Leistungsdatenerhebung und Auswertung entstehende Anpassungs- und Leistungsdruck für die Beschäftigten höher zu gewichten sei als das wirtschaftliche Interesse des Unternehmens. Das letzte Wort scheint hier noch nicht gesprochen zu sein.

Die Datenschutzkonferenz (DSK) hat mit einem Beschluss vom 31. Januar 2023 die eigene Rechtsmeinung zu bestimmten Aspekten des Drittlandtransfers klargestellt. Nach Auffassung der DSK ist die bloße Gefahr, dass eine Drittlandsmuttergesellschaft (oder eine Behörde) eines EWR-Unternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, nicht ausreichend, um eine Übermittlung im Sinne von Art. 44 ff. DSGVO anzunehmen.

Allerdings hält die DSK darüber hinaus fest, dass die vorstehend beschrieben „Gefahr“ dazu führen könnte, dass der solcher Weisungsgebundenheit unterliegende Auftragsverarbeiter als nicht hinreichend zuverlässig im Sinne von Art. 28 Abs. 1 DSGVO zu bewerten sein dürfte. Die könne nur durch Vornahme einer Einzelfallprüfung und in der Konsequenz durch die Implementation geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen, dass der Auftragsverarbeiter seinen regulatorischen und vertraglichen Pflichten nachkommt, wiederhergestellt werden.

Dabei hat die DSK offenbar nicht berücksichtigt, dass gem. Art. 28 Abs. 10 DSGVO ein Auftragsverarbeiter, der datenschutzwidrig die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.

Einen aus Datenschutzsicht interessanten Deal hat ein Kläger vor dem LG Köln (28 O 21/22) ausgehandelt: Nachdem er beim Konkurrenzunternehmen in ein „einfach gutes“ Angebot für einen Audi Q3 eingeschlagen hatte, konnte er obendrauf auch noch EUR 4.000,00 DSGVO-Schadensersatz lockermachen. Und das kam so:

Der Kläger ist Autoverkäufer bei Firma A und hat sich sein neues Auto aber bei der Konkurrenzfirma B gekauft. Firma B wandte sich nun per E-Mail an Firma A und bat diese, zwecks Klärung der Finanzierung des Privatkaufs „mit Ihrem Mitarbeiter ein klärendes Gespräch zu führen“.

Hierin sah das LG Köln eine unerlaubte Offenbarung personenbezogener Daten des Klägers gegenüber dessen Arbeitgeber und damit eine Datenschutzverletzung, die den genannten Schadensersatz auslöst. Der mögliche Rechtfertigungsdruck gegenüber seinem Arbeitgeber sei mit einem erheblichen Schamgefühl verbunden, wodurch ein offensichtliches Geheimhaltungsinteresse des Klägers bestand.

Der Auskunftsanspruch nach Art. 15 DSGVO ist nicht allein deswegen als rechtsmissbräuchlich einzustufen, weil mit ihm datenschutzfremde Ziele verfolgt werden. Nach Ansicht des OLG Celle (8 U 165/22) ist die Motivationslage des Klägers nicht maßgeblich bei der Bewertung der Begründetheit des Auskunftsantrags. Die DSGVO mache den Auskunftsanspruch gerade nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig. Entsprechend muss der Anspruch auch nicht begründet werden. Im vom OLG Celle zu entscheidendem Fall hatte der Anspruchsinhaber Auskunft über die Prämienerhöhung bei seiner privaten Krankenversicherung verlangt. Der Versicherer hatte den Anspruch zurückgewiesen, da der Antragssteller keinen datenschutzrechtlichen Grund verfolge.

Durch das Urteil wird es für Unternehmen in Zukunft deutlich schwerer Auskunftsansprüche mit dem Verweis auf Rechtsmissbräuchlichkeit zurückzuweisen. Unternehmen sollten daher den Umgang mit Betroffenenansprüchen prüfen und ggf. vorhandene Richtlinien entsprechend überarbeiten.

Die EU-Kommission hat kurz vor Weihnachten noch einen Beschlussentwurf vorgelegt, der das angemessene Schutzniveau für personenbezogene Daten gewährleisten soll, wenn diese aus der EU in die USA übermittelt werden. Damit soll den Bedenken des EuGH aus dem Schrems-II-Verfahren Rechnung getragen werden.

Bevor die Kommission allerdings eine Angemessenheitsentscheidung erlassen kann, wird sich erst einmal der Europäische Datenschutzausschuss (EDSB) und das Europäische Parlament damit befassen. Dann steigt die – bis auf Weiteres – die Rechtssicherheit bei der Nutzung notwendiger und alltäglicher Datenverarbeitung mit US-Unternehmen.

Wer als Auftragsverarbeiter personenbezogene Daten für Partner und Kunden verarbeitet, kann nun dank der neuen Verhaltensregel gem. Art. 40 DSGVO „Trusted Data Processor“ des LfDI Baden-Württemberg für mehr Rechtssicherheit sorgen.

Auftragsverarbeiter können mit einer Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ demonstrieren, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sie sich deren Überwachung durch eine Überwachungsstelle haben wird. Die Vorgaben der Verhaltenregeln sehen z. B. bestimmte Mindeststandards für die Einbindung und Kontrolle von Unterauftragsverarbeitern, den Umgang mit Betroffenenrechten, die Meldung von Datenschutzvorfällen, die Verpflichtung auf Vertraulichkeit von Beschäftigten und Eigenkontrolle vor.

Mehr Informationen gibt es auf der Webseite www.verhaltensregel.eu.

Der Eigentümer eines Mehrparteienhauses in Berlin ließ den Innenhof des Gebäudes per Video überwachen. Einem Mieter des Hauses hat das Landgericht Berlin (63 O 213/20) nun ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen.

Der Mieter hatte u. a. vorgetragen, dass der Innenhof für ihn wegen des Überwachungsdrucks praktisch nicht nutzbar war. Das Gericht sah eine Videoüberwachung zu präventiven Zwecken (Diebstahlsvermeidung etc.) als nicht gerechtfertigt an und verneinte auch das Vorliegen sonstiger Anhaltspunkte für ein Überwiegen der Interessen des Eigentümers gegenüber den schutzwürdigen Interessen des Betroffenen. Das Gericht gewichtete insbesondere, dass der Innenhof von den Bewohnern des Hauses und deren Kindern als Rückzugsort genutzt wurde. Darüber hinaus erfolgte die Videoüberwachung rund um die Uhr und die Speicherung des Bildmaterials fand ohne zeitliche Limitierung statt

Die Bremer Datenschutzaufsicht hat einen rechten Hetzer mit einem fragwürdigen Verständnis von Meinungsfreiheit in seine Schranken gewiesen; das Verwaltungsgericht Bremen (4 K 1338/21) hat dieses Vorgehen nun bestätigt. Demnach darf die Aufsichtsbehörde anordnen, Videos und Screenshots von Videokonferenzen eines öffentlichen Gremiums vollständig von einer Webseite zu entfernen, und deren künftige Veröffentlichung untersagen, soweit sie Teilnehmer Videokonferenz zeigen und/oder deren Stimmaufnahmen beinhalten.

Die besagte Veröffentlichung zielte laut VG Bremen darauf ab, die an der Videokonferenz beteiligten Personen zu diffamieren, und stellte keine berechtigte Mehrinformation gegenüber den öffentlichen Protokollen der Videokonferenz dar; es fehlte offenbar an einer journalistischen Aufarbeitung der bereitgestellten Informationen. Die Interessensabwägung fällt also gegen den Webseitenbetreiber aus.

Das Urteil zeigt, dass der Datenschutz zum Erhalt der Grundrechte und der freiheitlich-demokratischen Rechtsordnung beiträgt. Die Aufsichtsbehörden können hier eine wichtige und effektive Rolle einnehmen.

Hacker gelangten im vergangenen Jahr rechtswidrig an Datensätze von einer Vielzahl von Facebook-Nutzern. Wie genau die Angreifer an die Daten gelangen konnten, ist unklar. Es ist jedoch davon auszugehen, dass es gelang, sich unrechtmäßig von außen Zugriff auf IT-Systeme von Facebook zu verschaffen. Unabhängig vom konkreten Ablauf ist das unrechtmäßige Abfließen der Daten ein sog. Data-breach-Vorfall im Sinne von Art. 33 DSGVO. In einem Verfahren vor dem Landgericht Zwickau ist nun ein Versäumnisurteil (LG Zwickau,  7 O 334/22) ergangen, in dem einem von der Datenpanne betroffenen Facebook-Nutzer ein Schadenersatzanspruch in Höhe von EUR 1000 zugesprochen. Nach Auffassung des LG hatte Facebook keine ausreichenden Sicherheitsmaßnahmen getroffen, um das Abfließen der Daten zu verhindern.

Unternehmen sollten das Urteil als Anlass nehmen, die eigene IT-Sicherheit einmal mehr auf den Prüfstand zu stellen. Kommt es tatsächlich zu einem Data-breach-Vorfall sollten Unternehmen in der Lage sein zu belegen, dass die eigene IT im konkreten Fall in angemessenem Maß abgesichert war. Nur so können Schadenersatzansprüche im Nachgang abgewehrt werden.

Am 7. Oktober 2022 hat US-Präsident Joe Biden die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities unterzeichnet. Diese soll der Europäischen Kommission als Grundlage für einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA dienen, nachdem der EuGH das Privacy Shield in seinem Schrems II-Urteil 2020 gekippt hatte (C-311/18). Die neue Executive Order sieht offenbar strengere Regeln für den Umgang mit personenbezogenen Daten durch US-Geheimdienste vor. Betroffene aus der EU sollen zudem ein mehrstufiges Redress-Verfahren nutzen können, für den Fall, dass US-Geheimdienste ihre Daten rechtswidrig verarbeitet haben. Wenn die Europäische Kommission mitmacht, können Verantwortliche in der EU auf Rechtsicherheit für ihre US-Datentransfers im ersten Halbjahr 2023 hoffen; andere sehen schon die Bühne für ein Schrems III-Urteil bereitet. Hat sich Disney schon die Filmrechte gesichert?

Ein verspäteter Auskunftsanspruch kann nach Auffassung des Bundesarbeitsgerichts einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 1.000,00 begründen. Darüber hinaus führt das BAG aus, dass auch im Zusammenhang mit Art. 82 DSGVO § 287 Abs. 1 Satz 1 ZPO zur Anwendung kommt. Das Gericht kann also die Schadensschätzung unter Würdigung aller Umstände nach freier Überzeugung vornehmen. Tatsächlich konnte das BAG daher auch nicht die Höhe des in der Vorinstanz vom Landgericht zugesprochenen Schadenersatzanspruchs prüfen, sondern die Entscheidung lediglich auf Ermessensfehler durchleuchten.

Unternehmen sollten ihre eigenen Prozesse rund um den Umgang mit Betroffenenrechten regelmäßig prüfen und überarbeiten, um nicht einer Vielzahl solcher Forderungen ausgesetzt zu werden.

Das Finanzgericht München (15 K 2067/18) hat geurteilt, dass Steuerakten nicht dem Anwendungsbereich der DSGVO unterfallen. Demnach kann ein Betroffener sich für ein Begehren auf Akteneinsicht bzw. Überlassung von Kopien der Steuerakten nicht mit Erfolg auf Art. 15 DSGVO stützen. Während strukturierte Einzelangaben dem Auskunftsanspruch unterliegen, fallen noch nicht „gehobene“ Einzelangaben in Steuerakten – Volltexte, die ggf. die Quelle der noch nicht strukturierten/gehobenen Daten darstellen – vor allem wegen ihrer fehlenden Strukturiertheit (noch) nicht in den Anwendungsbereich der DSGVO. Insbesondere gewährleistet der Auskunftsanspruch somit keinen Anspruch auf Überlassung von Kopien der in der Steuerakte enthaltenen Schriftstücke. Es wird sich zeigen, ob diese doch sehr pragmatische Herangehensweise des Finanzgerichts Bestand haben wird; andere Gerichte sind beim Umfang des Auskunftsanspruchs deutlich strenger.

Nachdem sich in einem Mehrparteienhaus ein Mieter beim Vermieter über einen anderen Mieter beschwert hatte, verlangte der „verpfiffene“ Mieter vom Vermieter Auskunft darüber, welcher Mitbewohner sich über ihn beschwert hatte. Den Auskunftsanspruch stützte der Mieter auf Art. 15 Abs. 1 DSGVO. Das Auskunftsrecht wird nicht schrankenlos gewährt. Vielmehr sind die Rechte und Freiheiten des Hinweisgebers zu berücksichtigen. Im Rahmen der notwendigen Interessenabwägung ist nach Auffassung des BGH (VI ZR 14/21) insb. zu berücksichtigen, ob der Hinweisgeber wider besseren Wissens oder leichtfertig unrichtige Angaben getätigt hat. Ist das der Fall, soll das Interesse an der Geheimhaltung des Hinweisgebers gegenüber dem Auskunftsinteresse regelmäßig zurücktreten

Was hat das eine mit dem anderen zu tun? Ein nach dem Kriegswaffenkontrollgesetz Verpflichteter wollte seine E-Mail-Meldungen an das elektronische Kriegswaffenregister des Bundesamts für Wirtschaft und Ausfuhrkontrolle nur noch Ende-zu-Ende-verschlüsseln; er befürchtete, Opfer einer Entführung oder eines Raubes zu werden, um an die gelagerten Produkte zu gelangen. Das VG Frankfurt (5 L 1281/22.F) entschied aber, dass das Bundesamt mit der vorhandenen Transportverschlüsselung die erforderlichen Vorkehrungen zur Wahrung der Integrität und Vertraulichkeit bereits getroffen hätte. Diejenigen, die nicht täglich mit Kriegswaffen handeln, müssen sich nur merken: Die Transportverschlüsselung von E-Mails reicht nach Stand der Technik für die Einhaltung der DSGVO aus, jedenfalls sofern keine Kategoriedaten oder besonderes Schutzbedürfnis vorliegen.

Das LAG Schleswig-Holstein (6 Ta 49/22) hat im Rahmen einer sofortigen Beschwerde gegen die (teilweise) Versagung von Prozesskostenhilfe festgehalten, dass ein immaterieller Schaden in Höhe von bis zu 2000 € für einen Arbeitnehmer angemessen sind, der scheinbar freiwillig an einem Werbevideodreh teilgenommen hat, eine wirksame datenschutzrechtliche Einwilligung aber nicht vorlag. Nach Ansicht des Gerichts stellt bereits die Verletzung der DSGVO selbst einen zu kompensierenden immateriellen Schaden dar. Art. 82 Abs. 1 DSGVO erfordere über die Verletzung der DSGVO hinaus gerade nicht, dass die verletzte Person einen weiteren erlittenen Schaden darlegt. Das Gericht stützte sich dabei im Wesentlichen auf Erwägungsgrund 146 Satz 3 DSGVO und die entsprechende Rechtsprechung des EuGH, wonach der Begriff des Schadens extensiv auszulegen sei.

Mit Urteil vom 14. Dezember 2021 hat das ArbG Neuruppin (2 Ca 554/21) einer Arbeitnehmerin einen Schadenersatzanspruch in Höhe von 1000 Euro gegen ihren ehemaligen Arbeitgeber zugesprochen. Der Anspruch bestehe, da der Arbeitgeber, nach Beendigung des Arbeitsverhältnisses, mit der Klägerin als bei ihm angestellte Biologin geworben hatte. Auch nach entsprechender außergerichtlicher Aufforderung stellte der Arbeitgeber die Nennung auf seiner Webseite nicht ein. Nach Auffassung des Gerichts stellte diese Nennung eine schuldhaft unrichtige Verwendung von personenbezogenen Daten dar, die kausal für die Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin war. Den dadurch entstandenen immateriellen Schaden legte das Gericht in Höhe von 1000 Euro fest.

Trotz der geringen Summe zeigt das Urteil abermals deutlich, dass Unternehmen nicht nur beim Onboarding neuer Mitarbeiter professionell und strukturiert aufgestellt sein müssen, sondern auch das Offboarding von Mitarbeitern den ein oder anderen Fallstrick mit sich bringen kann.

Die EU-Kommission hat auf Ihrer Webseite FAQ zu den erneuerten Standard Contractual Clauses (SCC) veröffentlicht. SCC stellen eine geeignete Möglichkeit dar, einen Datentransfer in ein Drittland rechtmäßig auszugestalten. Der dazu in Form der SCC von der Kommission bereitgestellte Mustervertrag berücksichtigt dabei alle denkbaren Situationen: sowohl die Datenübertragung von Verantwortlichen zu Auftragsverarbeitern (und umgekehrt) sowie auch zwischen Auftragsverarbeitern oder Verantwortlichen. Ferner stellen die SCC im Rahmen einzelner Klauseln standardisierte Varianten (Optionen) zur Verfügung, mit denen der Vertrag den individuelle Bedürfnisse angepasst werden kann. Die Anpassungsmöglichkeiten der SCC sind dabei Fluch und Segen zugleich. Bereits die falsche Modulauswahl kann dazu führen, dass der Datentransfer rechtswidrig und damit bußgeldbewehrt ist. Die FAQ bieten zwar eine erste gute Anlaufstelle, um einen grundlegenden Eindruck von den Möglichkeiten der SCC zu erlangen. Als Ausfüllhilfe für Laien sind sie aber kaum geeignet. Die Gestaltung von Drittstaatentransfers unter Verwendung von SCC sollte nicht ohne anwaltliche Beratung erfolgen.

Der Verantwortliche ist verpflichtet, seine Auftragsverarbeiter zu überprüfen, um sicherzustellen, dass sie personenbezogene Daten im Einklang mit der DSGVO verarbeiten (Art. 28 DSGVO). Dementsprechend hat die dänische Datenschutzbehörde kürzlich (2022) die Frage erläutert, wie oft Auftragsverarbeiter überprüft werden sollten.

Die Anforderungen an die Prüfung von Auftragsverarbeitern steigen, wenn der Verarbeiter mehr personenbezogene Daten verarbeitet, die Daten vertraulicher oder sensibler werden oder die Verarbeitung eingreifender wird. Je kritischer daher die Verarbeitung für die betroffenen Personen ist, desto intensiver müssen die Kontrollen des Datenverarbeiters sein.

Wenn die Risiken für die betroffenen Personen hoch sind, ist ein jährliches Audit (vor Ort oder remote) erforderlich. Faktoren, die auf eine höhere Häufigkeit hindeuten, sind:

• Schwierigkeiten des Auftragsverarbeiters in der Vergangenheit bei der Einhaltung der AV-Vereinbarung,
• gehäuftes Auftreten schwerwiegender Datenpannen,
• Subprozessoren werden häufig ersetzt,
• häufige Übernahmen, Eigentümerwechsel, Fusionen oder erhebliche Änderungen in der Geschäftsstrategie des Auftragsverarbeiters.

Die italienische Datenschutzbehörde hat gegen das US-amerikanische Unternehmen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro verhängt, weil es gegen die Bestimmungen der DSGVO verstoßen hat.

Erstens verarbeitete das Unternehmen personenbezogene Daten – die über öffentliche Webquellen und Web Scraping gesammelt wurden und über 10 Milliarden Gesichtsbilder enthielten – ohne Rechtsgrundlage (kein berechtigtes Interesse von Clearview).

Zweitens verstieß das Unternehmen gegen mehrere Grundprinzipien der DSGVO, darunter Transparenz – da es die betroffenen Personen nicht angemessen informierte -, Zweckbindung – da es Daten zu anderen Zwecken verarbeitete als denen, für die sie online zur Verfügung gestellt worden waren – und Speicherbegrenzung – da es keinen Zeitraum für die Datenspeicherung angab.

Das Unternehmen wurde angewiesen, die Daten zu löschen und einen Vertreter gem. § 27 DSGVO in der EU zu benennen.
(Übrigens hat die Ukraine berichtet, dass sie die Gesichtserkennungstechnologie von Clearview einsetzt, um Fehlinformationen zu bekämpfen und die Opfer zu identifizieren.)

Das OLG Dresden (4 U 1278/21) hat sich mit der juristisch durchaus anspruchsvollen Frage auseinandergesetzt, wie mit Daten umzugehen ist, die ursprünglich unberechtigt gespeichert wurden, für die aber eine gesetzliche Aufbewahrungspflicht besteht.
Nach Ansicht des OLG kann die ursprünglich rechtswidrige Verarbeitung der Daten nicht durch ein gesetzliches Aufbewahrungsrecht „geheilt“ werden. Die personenbezogenen Daten müssten daher geschwärzt oder gelöscht werden bzw. sei der Zugang geeignet einzuschränken.

Solche Fragen im Spannungsfeld zwischen Löschpflicht bzw. Löschanspruch und gesetzlichen Aufbewahrungspflichten sind immer nur nach Einzelfallabwägung zu entscheiden. In dem zu entscheidenden Fall ging es um Buchhaltungsunterlagen nach § 147 AO, für die bei digitaler Aufbewahrung eigentlich Veränderungsschutz gilt. Nach Ansicht des OLG seien die Unterlagen daher nicht in ihrer Gesamtheit zu löschen, sondern nur die personenbezogenen Daten des Klägers durch „digitales Schwärzen“.

Lieblingsthema Auskunft! Der Europäische Datenschutzausschuss hat Ende Januar seine Leitlinien zum Auskunftsrecht gem. Art. 15 DSGVO zur öffentlichen Konsultation herausgegeben. Die Hilfestellung von höchster europäischer aufsichtsbehördlicher Ebene ist herzlich willkommen; dass damit aber das Thema Auskunft für Verantwortliche einfacher wird, darf man nicht erwarten. Immerhin spiegeln die Leitlinien im Wesentlichen die Anforderungen, die wir in verschiedenen Urteilsbesprechungen früherer DRF-Ausgaben beleuchteten, wider: Inhalt der Auskunft muss alles sein, was beim Verantwortlichen vorliegt, auch interne Vermerke und Kommunikation. Erfreulich praxisnah ist jedoch dabei, dass auch der EDSA ein mehrstufiges Auskunftsverfahren („layered approach“) als gangbaren Weg für das Beauskunften großer Datenmengen aufzeigt, um den Konflikt zwischen Vollständigkeit einerseits und Präzision und Zugänglichkeit andererseits zu lösen. Das Konsultationsverfahren läuft noch bis zum 11. März 2022.

Die Auskunft gem. Art. 15 DSGVO ist hier schon öfter vorgekommen (möchte mal jemand nachzählen?); und auch der Beitrag von Bernhard und mir an anderer Stelle hat das Thema nicht abschließend behandelt. Die Rechtsmissbräuchlichkeit eines Auskunftsantrags hat nun das OLG Hamm festgestellt (20 U 269/21): In einem Streit mit einer Versicherung beantragte der Kläger, ihm Auskunft über die Beitragsanpassungen vergangener Jahre zu erteilen und hierzu geeignete Unterlagen zur Verfügung zu stellen. Dieser Auskunftsanspruch ließe sich hier jedoch nicht auf Art. 15 DSGVO stützen, da er gem. § 242 BGB rechtsmissbräuchlich sei. Die begehrte Auskunft diene ausschließlich der Verfolgung von Leistungsansprüchen, was nichts mit dem Zweck der DSGVO zu tun habe, nämlich dem Datenschutz. Demnach dürfe sich die Versicherung gem. Art. 12 Abs. 2 lit. b) DSGVO weigern, die Auskunft zu erteilen (vgl. LG Wuppertal, 4 O 409/20).

Gibt es bei Datenschutzverletzungen immer auch Schadensersatz, oder ist ein konkreter Schaden darzulegen? Diese ungeklärte Frage war Gegenstand einer Entscheidung des OLG Düsseldorf vom 16.02.21 (16 U 269/20). Nach Ansicht des OLG gibt Art. 82 DSGVO einen pauschalierten Anspruch – wie z. B. in der Fluggastrechte-VO – nicht her. Eine Schadensersatzpflicht sei nur in der Höhe eines konkret geltend gemachten Schadens denkbar, der nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt.

Das Urteil ist damit zwar nachvollziehbar, solange man es durch die deutsche Schadensersatzrechtsbrille sieht. Es verkennt allerdings, dass das europäische Schadensersatzrecht einen viel stärkeren Fokus auf den Aspekt der Abschreckungswirkung hat und weniger den Ansatz der sog. Naturalrestitution verfolgt.

Auch ErwGr 146 unterstreicht den Willen des Gesetzgebers nach einer weiten Auslegung des Schadensbegriffs. Letztlich bedarf es hier dringend einer Klärung durch den EuGH.

Das OLG Stuttgart (12 U 296/20) hat die Videoüberwachung in einem Supermarkt für rechtswidrig erklärt. Nach Ansicht des Gerichts sei die pauschale Feststellung, die Videoüberwachung sei zur Gefahrenabwehr sowie zur nachträglichen Strafverfolgung erforderlich, nicht ausreichend. Es bedürfe vielmehr einer Prüfung, ob auch weniger einschneidende Maßnahmen ausreichend sein können (z. B. andere Raumaufteilung, Einsatz von Sicherheitsmitarbeitern etc.).

In diesem Zusammenhang stellte das OLG klar, dass den Betreiber der Überwachungsanlage – und nicht etwa den Kunden – die Beweislast für die Rechtmäßigkeit trifft.

Eine Negativauskunft gem. Art 15 Abs. 1 S. 1 DSGVO (ob Daten verarbeitet werden) reicht aus, wenn eine Festplatte als Garantiefall ausgetauscht und zerstört wurde; Daten liegen nun mal keine mehr vor, so das OLG Dresden (4 U 324/21).

Der Verkäufer der Festplatte hatte vorab darauf hingewiesen, dass statt der Reparatur der Festplatte auch deren Austausch in Betracht kommt und für die Datensicherung allein der Kunde verantwortlich ist. Daraufhin stellt das Einsenden der Festplatte eine konkludente Einwilligung in den Austausch dar. Mit der Erklärung, den eingesandten Datenträger nicht mehr im Besitz und die aufgespielten Daten nicht ausgelesen zu haben, hat der Verkäufer als Verantwortlicher den Auskunftsanspruch abschließend erfüllt.

Pech für den Kunden, der seine Daten offenbar nicht gesichert hatte.

Merke: Ein Backup ist immer eine gute Idee.

Bernhard Kloos und ich hatten an anderer Stelle bereits über die neuen EU-Standardvertragsklauseln für den Drittstaatentransfer berichtet.

Nun hat auch die Datenschutzbehörde der Schweiz die neuen EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in unsichere Drittländer anerkannt. In ihrer Erklärung stellt die Behörde dar, welche Anpassungen und Ergänzungen vorgenommen werden müssen, damit die Klauseln für die Schweiz funktionieren. So muss ggf. ein Anhang ergänzt werden, der präzisiert, dass die Verweise auf die DSGVO als Verweise auf das Schweizer Datenschutzgesetz zu verstehen sind. Ein weiterer Anhang muss festlegen, dass Betroffene mit gewöhnlichem Aufenthalt in der Schweiz ihre Rechte auch in der Schweiz einklagen können.

Übrigens: Seit dem 27. September 2021 können sowohl in der Schweiz als auch der EU nur noch die neuen Standardvertragsklauseln wirksam abgeschlossen werden.

BAG 8/20: Datenkopie erst nach Auskunft

Mit Urteil vom 27. April 2021 (2 AZR 342/20) hat das Bundesarbeitsgericht entschieden, dass ein Klageantrag auf Überlassung einer Kopie von E-Mails nur dann im Sinne von § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt ist, wenn im Vollstreckungsverfahren ohne weiteres festgestellt werden kann, welche E-Mails erfasst sind.

Der Kläger hat im gerichtlichen Verfahren Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie diese Daten beantragt. Das Landesarbeitsgericht hatte die Klage im Hinblick auf den Antrag auf Überlassung einer Kopie teilweise als unzulässig wegen der Unbestimmtheit des Antrags abgewiesen. Die Revision des Klägers vor dem BAG blieb erfolglos.

Vergleichbare Konstellationen sollten in jedem Fall – anders als geschehen – im Rahmen einer Stufenklage nach § 254 ZPO geltend machen. Der vorgelagerte Auskunftsanspruch gibt die Möglichkeit zur hinreichend bestimmten Formulierung des Anspruchs auf Kopie.

Die Berliner Aufsichtsbehörde startete im August eine „großangelegte Aktion“, mit der sie ganze 50 Berliner Unternehmen mit Defiziten beim Einsatz vom Tracking-Techniken und Drittdiensten konfrontiert. Dabei fordert sie die Unternehmen auf, das Tracking auf ihren Webseiten in Einklang mit den geltenden Datenschutzregeln zu bringen. Jedoch ist es für die betroffenen Unternehmen teilweise gar nicht so einfach, welche Anpassungen die Behörde denn genau sehen will. Manche der spezifischen Kritikpunkte – Achtung: Insider-Wissen! – sind nämlich gut in der Darstellung der allgemeinen rechtlichen Anforderungen versteckt.

Die Aktion ist nach Aussage der Berliner Datenschutzbeauftragten Maja Smoltczyk Teil einer bundesweit abgestimmten Kampagne der Aufsichtsbehörden.

Wer nach all dem, was uns Max Schrems und der EuGH im Juli 2020 beschert haben, immer noch personenbezogene Daten in die USA schickt, sollte sich vorsehen. Dass das nicht so ohne Weiteres geht, sollte mindestens den geneigten Lesenden klar sein – allesamt herzlich gut. „Allein ich glaub’, du hältst nicht viel davon“ denken sich aber offenbar die Aufsichtsbehörden. Neun davon (BE, BB, BW, BY, HB, HH, NI, RP, SL) überprüfen nun in einer konzertierten Aktion den internationalen Datentransfer mit einem Schwerpunkt auf die Anforderungen des „Schrems II“-Urteils. Damit das Konzert harmonisch klingt, hat man weitgehend einheitliche Fragebögen erarbeitet. Diese werden seit Anfang Juni an ausgewählte Unternehmen geschickt. Ob man jede Frage dort im Einzelfall wirklich beantwortet, sollte man sich gut überlegen. Wohl denjenigen, die noch keine Post bekommen haben.

Bereits in der letzten Ausgabe hatte ich ja bereits meine Lieblingslektüre für das erste Quartal oder auch Hälfte eines Jahres vorgestellt: Die Jahres- und Tätigkeitsberichte der Datenschutzaufsichtsbehörden. Anlässlich des 3. Geburtstags der DSGVO ist heute der 29. Tätigkeitsbericht des BfDI für 2020  an der Reihe. In diesem befasst er sich mit der Evaluierung durch EDSA und die Europäischen Kommission. Für diese beiden war die Notwendigkeit bürokratischer Erleichterungen für KMU immerhin ein Thema. In seiner eigenen Bewertung der DSGVO geht der BfDI hierauf leider doch nicht mehr ein. Der BfDI sieht stattdessen „kein[en] aktuelle[n] Änderungsbedarf“.

Weiteres prägendes Thema für den BfDI war 2020 natürlich auch die Corona-Pandemie. In der Öffentlichkeit erweist der BfDI sich immer wieder als tapferer Kämpfer gegen Falschmeldungen und Mythen, laut derer der Datenschutz die Pandemiebekämpfung behindere. Dies spiegelt sich auch im aktuellen Bericht wider, der Themen von der Corona-Warn-App über Videokonferenzsysteme bis hin sogar zur kontaktlosen Paketzustellung aufgreift. Letztere mit Hilfe der mittlerweile sehr verbreiteten Handscanner erfolgt an der Wohnungstür offenbar weitgehend datenschutzkonform. Wie schön!

In seinem Bericht erinnert der BfDI außerdem daran, dass Windows 10 und MS Office 365 so richtig datenschutzkonform derzeit immer noch nicht einzusetzen sind. Bei Windows 10 sollte mindestens die Telemetriestufe „Security“ genutzt werden, was aber auch nicht alle Probleme löst. Der Fokus der Behörden liege hier aber weiterhin auf dem Austausch mit Microsoft und weniger auf den zehntausenden Unternehmen und Organisationen, die die Produkte des Softwareriesens einsetzen.

2020 stellte der BfDI zudem klar, dass eine Löschpflicht tatsächlich durch eine Anonymisierung erfüllt werden kann. Danke hierfür! Dass hier wirklich immer eine Datenschutz-Folgenabschätzung durchgeführt werden muss, wie es der BfDI empfiehlt, kann auch anders gesehen werden.

Ansonsten unterhält der BfDI in seinem Bericht mit fast schon satirisch anmutenden Seitenhieben auf das Bundesgesundheitsministerium, das beim Patientendaten-Schutz-Gesetz nicht auf ihn gehört hat. Da stellt sich die Frage: Darf eine oberste Bundesbehörde Satire? Ich sage: Ja, bitte mehr davon!

In den ersten 3-4 Monaten eines Jahres erscheinen gefühlt 17 Tätigkeitsberichte der Datenschutzaufsichtsbehörden des Bundes und der Länder zum Vorjahr. Damit Sie die nicht alle lesen müssen, tun wir das für Sie und berichten hier dann gelegentlich über Berichtenswertes. In diesem Jahr sind sie sehr geprägt von Datenschutzthemen im Corona-Zusammenhang. Aber auch darüber hinaus bieten die Berichte Orientierung bei der sonstigen Anwendung der DSGVO. Der Bericht der Berliner Aufsichtsbehörde lässt – nicht ganz unerwartet – staunen: So müssten Verantwortliche Betroffenen bei Auskünften gem. Art. 15 DSGVO grundsätzlich sowohl die Kategorien von Empfänger*innen als auch die konkreten Empfänger*innen mitteilen. Art. 15 Abs. 1 lit. c) DSGVO sieht jedoch die Mitteilung der „Empfänger oder Kategorien von Empfängern“ vor. Ich weiß nicht, wie es Ihnen geht, aber ich lese da ein Wahlrecht.

Das LG Berlin ((526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20) hat im Februar das Bußgeldverfahren der Berliner Aufsichtsbehörde (BlnBDI) gegen die Deutsche Wohnen SE aus Verfahrensgründen eingestellt. Das LG Berlin vertritt die Meinung, dass Bußgelder gegen juristische Personen gem. Gesetz über Ordnungswidrigkeiten nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern dargelegt wird, die zu dem Bußgeldtatbestand geführt hat. Eine juristische Person selbst könne keine Ordnungswidrigkeit begehen. Damit schließt sich das Landgericht nicht der Auffassung an, dass die Bußgeldregelung in Art. 83 DSGVO Anwendungsvorrang vor nationalen Vorschriften hätte, und begründet dies mit der bewussten Ausgestaltung des BDSG. Die BlnBDI hat zwischenzeitlich Beschwerde gegen den Beschluss des LG Berlin eingelegt.

Wir hatten ja Dank des Ortsvereins einer Partei, der sich in der niedersächsischen Provinz lange für eine Fußgängerampel eingesetzt hatte, bereits vor ziemlich genau einem Jahr gelernt, dass wir Fotos auf Facebook besser nur mit Einwilligung veröffentlichen (Beitrag vom 04.02.2020). Der Streit zwischen den unwillentlich abgebildeten Eheleuten und dem Ortsverein ging nun in die nächste Runde und das OVG Lüneburg bestätigt: Die Veröffentlichung eines Fotos bei Facebook, auf dem Personen identifizierbar sind, bedarf einer datenschutzrechtlichen Legitimation. Fehlt die, sollten die Fotos anonymisiert werden. Also ran an Photoshop und „Mosaikeffekt“ an.

Übrigens: Die Veröffentlichung auf Webseiten der Lokalpresse zwecks Berichterstattung war unproblematisch. Das ist ja nicht Facebook, sondern nur das Internet.

Nachdem ein Youtuber im Mai 2020 in den Kellerräumen eines ehemaligen Krankenhausgebäudes auf eine Vielzahl von ungesichert zurückgelassenen Patientenakten gestoßen war, hat der Hamburgische DSB gegen die Grundstückseigentümerin eine datenschutzrechtliche Anordnung erlassen, die Daten besser zu sichern.

Im Rahmen eines Verfahrens im einstweiligen Rechtsschutz gegen diese Anordnung hat das OVG Hamburg ausgeführt, dass es für einen Verarbeitungsvorgang im Sinne der DSGVO eine willensgetragene menschliche Aktivität brauche. Bei der bloßen Lagerung von Daten sei das nicht der Fall, so dass es bereits an einem Verarbeitungsvorgang fehle.

Die Rechtsauffassung des Gerichts überzeugt nicht. Eine derartige Verengung des Verarbeitungsbegriffs ist Einfallstor für Schutzlücken auf Seiten der Betroffenen. Der Rechtsnachfolger eines Verantwortlichen könnte sich durch das bloße Nichtstun sämtlichen Betroffenenrechte der DSGVO entziehen.

Für manche war es wohl eine Art Weihnachtsgeschenk als sich Boris Johnson und Ursula von der Leyen am 24.12.2020 kurz vor Toresschluss auf das Handels- und Kooperationsabkommen zwischen der EU und UK geeinigt haben. Dieses sorgt für Rechtsicherheit für den Transfer personenbezogener Daten. Denn das Abkommen sieht in einer Übergangsregelung vor, dass Übermittlungen personenbezogener Daten von der EU nach UK zunächst nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. In der 4-monatigen Übergangzeit soll die EU-Kommission für UK einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO treffen (vgl. DSK). Der Datentransfer nach UK kann also ohne zusätzlichen Sicherungsaufwand weiterbetrieben werden. In die andere Richtung gilt dies wohl auch, denn laut britischer Aufsichtsbehörde bestehen für Übertragungen von UK in den EWR keine Einschränkungen.

Für die schwierigen Fragen unserer Zeit benötigt man praxistaugliche Lösungen. Wie schön ist es da, wenn man auf 178 Seiten im Auftrag des Bundesjustizministeriums (BMJV) erläutert bekommt, wie man eine datenschutzrechtliche Einwilligung gestaltet. Immerhin: es gibt auch einen Shortcut mit 8 Punkten auf 4 Seiten sowie das Webdesign für eine „User Journey“ mit Mock-Ups als Best Practice Modell.

Informiert und freiwillig muss sie sein, die Einwilligung. Datensparsam haben die Einstellungen zu sein und der Betroffene muss den Dienst auch ohne Einwilligung nutzen können. Nur für einen bestimmten Zweck darf man sie einholen, nicht global. Und natürlich: einfach bedienbar, transparent, verständlich, geräteübergreifend kompatibel, gestalterisch neutral, ablenkungs- und manipulationsfrei das Ganze. Unterstützt werden eine Entscheidungsbaumlogik sowie die Eigenverwaltung des Betroffenen mittels Datenschutz-Cockpit.

Das BMJV meint, damit den Mythos ausräumen zu können, Verbraucher wären „klickmüde“. Irgendwie fühle ich mich matt.

Im Dezember hatte der BfDI dem TK-Anbieter 1&1 wegen unzureichender Authentifizierungsmaßnahmen im Kundenservice ein saftiges Bußgeld aufgebrummt. 1&1 hat sich dagegen gewehrt und das LG Bonn hat nun über das Bußgeld geurteilt. 1&1 muss weiterhin blechen. Hat der BfDI also gewonnen? Zumindest scheint es so, denn er fühlt sich absolut dadurch bestätigt, dass 1&1 900.000 Euro zahlen muss. Dabei verschweigt er aber, dass er ursprünglich 9,55 Millionen Euro haben wollte, was das LG Bonn aber als unangemessen hoch ansah. An ihr umsatzbasiertes Bußgeldkonzept müssen die Behörden wohl nochmal ran. 1&1 feiert sich mit dem über 90-prozentigem Discount dann doch als den wahren Gewinner.

Am 12.11.2020 hat die EU-Kommission ihre Entwürfe der neuen Standardvertragsklauseln nach Art. 45 DSGVO veröffentlicht.

Auffällig ist dabei der neue modulare Ansatz. Der Text enthält verschiedene Regelungsalternativen, die modulartig für die Übermittlungsszenarien zusammengestellt werden können. Neben den bekannten Szenarien wird nun auch die Übermittlung des Auftragsverarbeiters in der EU an einen Unterauftragnehmer und an einen Verantwortlichen im Drittland erfasst. Die Pflichten des Datenimporteurs bei Zugriff von Behörden wurden als Reaktion auf das Schrems-II-Urteil des EUGH ausgeweitet. Diese reichen aber nicht aus, um in jedem Fall ein angemessenes Datenschutzniveau zu gewährleisten. Ergänzungen, wie letzte Woche vom EDSA vorgeschlagen, werden weiterhin für die USA & Co. erforderlich sein. Der Text ist noch nicht final, die Ansätze sehen aber vielversprechend aus.

Der Europäische Datenschutzausschuss (EDSA) hat in den letzten Wochen zwei interessante Leitlinien zu entscheidenden Datenschutz-Themen zur öffentlichen Anhörung veröffentlicht: Guideline 07/2020 über die Konzepte Verantwortlicher und Auftragsverarbeiter in der DSGVO; Guideline 08/2020 über das Targeting von Social Media-Nutzern.

Beide Dokumente enthalten praxisrelevante Hinweise zu ihren Themen. Guideline 07/2020 unterstützt bei der Abgrenzung von Verantwortlichen, Auftragsverarbeitern und gemeinsam Verantwortlichen. Sie enthält zudem Tipps zur vertraglichen Ausgestaltung der Beziehungen zwischen Verantwortlichem und Auftragsverarbeiter sowie zwischen gemeinsam Verantwortlichen. Guideline 08/2020 hilft dabei, Social Media-Marketing datenschutzkonform einzusetzen. Hier ist besonders das Audience-Marketing mit Bestandskunden zu beobachten: Laut EDSA besteht hierfür u. U. ein berechtigtes Interesse (Rn. 60). Das BayLDA z. B. erlaubt diese hingegen nur mit Einwilligung.

2020 ist ein Jahr zum Vergessen. Wollte man aber sämtliche Berichte über das Pandemiejahr aus den Google Suchergebnissen löschen, müsste man wohl noch eine Weile warten. Bestehendes journalistisches Interesse kann der Löschung vorgehen. Wie lange das so ist, entscheidet sich laut BGH (VI ZR 405/18) am Einzelfall.

Konkret versagte das Gericht einem Vorstandsmitglied eines Sozialverbandes kürzlich die Löschung negativer Presseartikel über ihn aus den Google Suchergebnissen. Der BGH sah einen Ausnahmetatbestand der Löschung, nämlich die Ausübung des Rechts auf freie Meinungsäußerung und Information als erfüllt. Bei der Abwägung der beiderseitigen Grundrechte sah er trotz des Alters der Berichte noch ein überwiegendes Informationsbedürfnis als gegeben an. Die Anwendbarkeit der Ausnahmetatbestände müsse stets im Wege einer Einzelfallabwägung ermittelt werden. 2020 bleibt uns dann wohl noch erhalten.

Mitte Juli hat der EuGH die Übertragung von personenbezogenen Daten in die USA unter dem Privacy Shield für unzulässig erklärt (Schrems II). Die Auswirkungen sind massiv, schon allein weil die meisten Anbieter von Cloud-Lösungen, Video-TK- und Online-Tools (z. B. Google Analytics) in den USA ansässig sind.

Eine vollständige Lösung des Problems gibt es derzeit nicht. Zum aktuellen Stand und die jetzt zu ergreifenden (Interims-)Maßnahmen:

Mit Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt. Die dortigen Überwachungsmöglichkeiten würden Grundrechte verletzen, ein ausreichendes Schutzniveau der Betroffenen sei nicht sichergestellt. Trotzdem auf dieser Grundlage durchgeführte Datentransfers seien rechtswidrig. Sie können Bußgelder und Schadenersatzforderungen nach sich ziehen. Ein Transfer in die USA mittels vertraglicher Schutzmechanismen auf Basis der EU-Standardvertragsklauseln (SCC) bleibt möglich, erfordert aber zusätzliche Garantien für ein angemessenes Schutzniveau.

Die EU versucht, Lösungen zu schaffen. Die europäischen Datenschutzbehörden haben FAQ zum Urteil herausgebracht und eine Task Force eingesetzt. Etwas Verwertbares gibt es insofern noch nicht.

Gleichzeitig entstand zusätzlicher Handlungsdruck durch 101 Beschwerden wegen des Transfers in die USA bei der Nutzung von Google Analytics und Facebook Connect, in Deutschland etwa gegen netzwelt.de, sky.de, tvspielfilm.de, express.de, derwesten.de, wiwo.de und chefkoch.de.

Was nun zu tun ist: Nichts tun oder Abwarten ist keine Alternative, eine politische Lösung nicht absehbar. Die sichere Variante, wie etwa von der Berliner Datenschutzbeauftragten gefordert, lautet: Umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln.

In der Praxis ist das schwer möglich. Also müssen die Situation analysiert und Lösungen mit vertretbarem Risiko erarbeitet werden. Alle Prüfungsschritte und ergriffenen Maßnahmen sind zu dokumentieren. Wir haben dazu entlang der Orientierungshilfe des LfDI Baden-Württemberg die Checkliste „Transferproblematik“ erarbeitet. Unseren Mandanten stellen wir zudem angepasste SCC zur Verfügung.

Nachdem die Berliner Datenschutzbehörde bereits eine Checkliste und einen Leitfaden zum Einsatz von Videokonferenz-Tools veröffentlichte, hat sie nun einige Anbieter genauer unter die Lupe genommen und Ihre Einschätzungen in einer Übersicht zu Videokonferenz-Tools mit Beurteilung im Ampel-Schema präsentiert. Ohne weiteres einsetzbar ist danach keiner der geprüften Anbieter. Wie nach den vorhergehenden Veröffentlichungen zu erwarten, steht die Ampel bei den gängigsten Tools Microsoft Teams, Skype, Zoom, Google Meet oder GoToMeeting auf rot. Grund ist aus Sicht der Behörde jeweils eine unzureichende Vereinbarung über die Auftragsverarbeitung. Unmittelbare Folge der Einschätzung ist bereits eine öffentlichkeitswirksame Auseinandersetzung mit Microsoft. Unabhängig davon, ob man die Ergebnisse der Behörde teilt, bleibt zu hoffen, dass nun ein Dialog einsetzt, der insbesondere bei US-Anbietern zu klareren Regelungen führt und so die Rechte der Verantwortlichen stärkt. Mit Wegfall des Privacy Shields ist nämlich klar, dass die Texte ohnehin angepasst werden müssen.

Den deutschen Aufsichtsbehörden wird ja gerne vorgehalten, dass diese viel zu zurückhaltend klare Vorgaben machen. Nicht so der Bundesbeauftragte: Der hat sich kürzlich festgelegt, dass eine Löschpflicht gem. Art. 17 DSGVO durch eine Anonymisierung erfüllbar sei. Voraussetzung hierfür ist, dass die personenbezogenen Daten rechtmäßig erhoben wurden und dann so anonymisiert werden, dass der Personenbezug nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann. Rechtsgrundlage bildet Art. 6 Abs. 1 lit. c) i. V. m. Art. 17 Abs. 1 lit. a) DSGVO. Zudem empfiehlt der BfDI die Durchführung eine Datenschutzfolgenabschätzung. Der BfDI macht damit besonders für datengetriebene und -intensive Geschäftsmodelle relevante Vorgaben.

Er hat es wieder getan – die Beschwerde des österreichischen Datenschützers Schrems bringt nach dem Safe-Harbor-Abkommen nun auch dessen Nachfolger, das EU-US-Privacy-Shield, zu Fall.

Der EuGH urteilte, dass das Privacy- Shield- Abkommen kein Schutzniveau auf dem Level der DSGVO sicherstellt, insbesondere da Betroffenen kein Rechtsweg offensteht, der ihnen dem Unionsrecht vergleichbare Rechtsgarantien zusichert. So sei die eingerichtete Ombudsperson für Datenschutzbeschwerden nicht befugt, für US-Behörden verbindliche Entscheidungen zu treffen. Inhaltlich überrascht das Urteil nicht. Wir haben das in der Ausgabe 05/2019 vorhergesagt. Das Abkommen kaschierte die Mängel des Safe-Harbor-Abkommens nur unzureichend und war politisch motiviert, um den Datenfluss in die USA nicht abreißen zu lassen. Dass Schutzmechanismen, wie Zusagen der Obama-Regierung , spätestens in der aktuellen politischen Lage wertlos sind, liegt auf der Hand.

Die Standardvertragsklauseln hält der EuGH dagegen nicht für unwirksam, jedoch sei vor einem Datentransfer unter diesen Klauseln zu prüfen, ob in dem Zielland der nach EU-Recht erforderliche Schutz durch die Standardvertragsklauseln tatsächlich gewährleistet werden kann. Hier dürften die Gründe, die den Privacy Shield zu Fall brachten, wiederum durchschlagen. Die Berliner Datenschutzaufsicht verlangt bereits den Wechsel zu europäischen Anbietern. Was konkret zu tun ist, finden Sie in unserer Handlungsempfehlung zum Urteil.

Komisch –  der „opposite day“, an dem man immer das Gegenteil von dem sagt, was man meint, ist eigentlich am 25. Januar. Trotzdem hat der BGH in seiner Entscheidung Cookie-Einwilligung II schon jetzt festgestellt, dass Nicht-Nein Ja und zu viel Information zu wenig sein kann.

Das für technisch nicht notwendige Cookies nach der Cookie-Richtlinie eine ausdrückliche Einwilligung einzuholen ist, was nicht durch vorausgewählte Checkboxen erfolgen kann, hatte der EuGH bereits im letzten Sommer festgestellt. Dem BGH blieb da in seiner Entscheidung nicht mehr viel hinzuzufügen, außer der erstaunlichen Feststellung, dass die deutsche Regelung in § 15 Abs. 3 TMG, die ausdrücklich nur einen Widerspruch vorsieht, durchaus als Einwilligungserfordernis verstanden werden könne.

Ähnlich konträr ist die Feststellung, dass eine (zweite) Werbeeinwilligung deswegen nicht „in Kenntnis der Sachlage“ erfolgt, weil sie zu viele Informationen zu den einbezogenen Werbepartnern enthält.  Wäre heute der 25.01., würde ich sagen – Super Entscheidung, BGH!